遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起 | セキュリティ対策のラック
経緯と概要 当社が運営する緊急対応サービス「サイバー119」は、昨年の後半より複数の大手企業様より遠隔操作ウイルスに関連する対応要請を受け、調査を行ってまいりました。 これらの事案で発見された遠隔操作ウイルスを調査したところ、攻撃者がインターネット側から企業内ネットワークで動作する遠隔操作ウイルスを操る際に、DNSプロトコルを使用するDNSトンネリングとも言われる手口を利用していることが確認されました。 これまでの代表的な遠隔操作ウイルスにおいては、Web閲覧で用いられるHTTP(S)プロトコルを使用し、Webサーバを模した指令サーバを使用しています。しかしながら今回はDNSサーバを模した指令サーバを構築していることが確認されました。 図1:Web閲覧におけるDNSの動き DNSプロトコルはインターネットにおいて、ドメイン名(FQDN)からIPアドレスなどの情報を得るためにDNSサーバとの
「狭義のP2P型ボットネットは存在しなかった」、JPCERT/CCが発表
「指令者からのコマンドの受信機能を実装する狭義のP2P型ボットネットは存在しなかった」。こんなレポートをJPCERT/CC(コーディネーションセンター)が6月21日に発表した。 ネットワーク上の多数のウイルス感染コンピュータ(ボット)が特定のコンピュータを攻撃するボットネットにおいて、P2P型ネットワークを用いる「P2P型ボットネット」が今後脅威になるかもしれないと、一部の研究者が指摘していた。通常のボットネットは、チャット用のIRCサーバーを利用し、ネットワーク上のボットに対して一斉に攻撃命令を出す。そこで、その実態がどうなっているのかを探ろうというのが今回のJPCERT/CCの調査である。 実際に分析を行ったのは、ラック 先端技術開発部の新井悠氏である。調査方法は、一般にP2P型ボットネットといわれているAgobot、W32.Nugache.A@mm、Trojan.Peacomについて
見えない”攻撃に挑む 第2回 ボットのウラに巨大犯罪マーケット:ITpro
ボットは,パソコンに仕込まれた後,目立たずにひっそり活動する。攻撃者がボットをしかける狙いが金儲けだからだ。背景には,巨大な犯罪マーケットと,犯罪組織の存在がある。 攻撃者がボットを仕掛けて狙うのは,パソコンに眠る個人情報や踏み台とするためのコンピューティング・リソースである(図1)。 かつてのウイルス開発者の目的は,自らの開発能力を誇示したり,人が困っているのを見て楽しむことだった。だから,できるだけ広く感染させることや,ネットワークをダウンさせて人々の話題に上ることが目的となる。 ところが金銭目的の場合は逆だ。目立つのは厳禁である。目立てば,迅速に対策され,駆除されてしまう。気付かれることなく,長い間支配下に置ければ,それだけ多くの情報を盗んだり,攻撃の踏み台に使える。 では,支配下に置いたパソコンによってどうやって利益を得るのか。代表的な“ビジネス”はメール・アドレスの販売だ。ボット
「シグネチャベースのボット対策は限界」BOTネット対策2006
「Interop Tokyo 2006」で7日、「徹底検証:BOTネット対策2006-ボットネット脅威の変移-」と題するカンファレンスが開催された。ISPやセキュリティベンダーなどの担当者が出席し、ボットネットの最新状況や有効な対策方法について意見を交わした。 ボットとはウイルスの一種で、感染したPCに対して、ネットワークを通じて外部から操ることを目的としたプログラム。ボットネットは、ボットに感染したPCで構成されるネットワークのことだ。悪意のある攻撃者は、IRC(Internet Relay Chat)サーバーなどを通じて感染したPCに指令を出し、スパムメールの大量送信やDDoS攻撃などを実行させることが多い。 ● ボットネットを売買できるブラックマーケットも存在 インターネットイニシアティブの歌代和正氏によれば、Windows Updateを適用していないような無防備なPCがネットワー
「ボットネットを“飼って”みました」,Telecom-ISAC Japan
Telecom-ISAC Japanの企画調整部副部長である小山覚氏は4月26日,「RSA Conference Japan 2006」の講演で,「ボットネット」を実際に運用することで判明した調査結果を公開した(写真1)。 小山氏らはインターネットでボット「rxBOT」のソース・コードを入手して,検証ネットワーク内にボットネットを自作した。その上で,ボットネットの命令伝達体系やサーバー攻撃手法などを調査した。小山氏は「最近のボットネットは,使い勝手も良く機能も豊富で,非常に洗練されている。真剣に対策を講じなければならない」と訴えた。 Telecom-ISAC Japanは,国内の通信事業者やISPで構成するセキュリティ組織である。小山氏はボットネットを自ら運用した背景について,次のように語った。「去年までは,ボットネットの管理者(Herder)からボット(ボット・プログラムに感染して乗っ取
あなたのパソコンに侵入しているかもしれない―ボットの驚くべき実態が明らかに:日経パソコンオンライン
JPCERTコーディネーションセンター(JPCERT/CC)とTelecom-ISAC Japanは2006年4月26日、セキュリティ会議「RSA Conference Japan 2006」において、「ボットネットの過去と現状」と題したセッションを開催。ボットネットの現状を報告するとともに、実験環境下でボットネットを構築し、その挙動を調査した結果を報告した。 ボットとは不正プログラムの一種。ネットワーク経由で受け取った外部からの命令に従って、感染コンピューターを操るプログラムを指す。感染経路はウイルスやワームと似ており、OSの脆弱性を攻撃したり、ユーザーがメールの添付ファイルを開いたりすることによって感染する。 ボットに感染したコンピューターは、攻撃者が遠隔操作用に準備した、中継用のコンピューターに接続する。攻撃者はIRC(Internet Relay Chat)や独自プロトコルなどを利
ボットネットの知られざる「内側」を探る
最近,個人の金融情報を盗み出すトロイの木馬「MetaFisher」(Spy-Agentとしても知られている)に関する興味深いニュースが報じられた(関連記事:「機密データを盗むトロイの木馬「MetaFisher」が北米で猛威」)。米VeriSign傘下企業であるiDEFENSEのKen Dunham氏が報じたニュースで最も興味深かったのは,MetaFisherを使ったボットネットワーク(ボットネット)の管理者が使用する管理画面のスクリーン・ショットである。これらの画像を見ると,ボットネットの内側で何が起きているのか理解できる。 iDEFENSEのKen Dunham氏が公開したスクリーンショットは,図1と図2である。図1は,ボット(トロイの木馬に乗っ取られたパソコン)のまん延状況(ボットネット管理者から見た場合は普及状況)を閲覧する画面である。図2は,ボットに対してクエリー(命令)を送り込む
変幻自在なBOTの正体を暴く
BOTとは何か?[前編] 変幻自在なBOTの正体を暴く 岡本 勝之 トレンドマイクロ株式会社 トレンドラボ・ジャパン アンチウイルスセンター ウイルスエキスパート 2005/9/22 現在「BOT(ボット)」と呼ばれる不正プログラム群が話題になっています。BOTとは「AGOBOT」「SPYBOT(※)」「SDBOT」「RBOT」といった名前を持つ不正プログラム群の総称です。このBOTという名称は「ロボット(ROBOT)」からきています。 当初は一般的なバックドア型ハッキングツールに見えたBOTですが、ネットワークワーム活動などのさまざまな活動を取り入れて成長しました。しかし、これらはそれまでに存在した活動の組み合わせであり、特に目新しいものとはいえません。 現在、BOTは無数の亜種を生み出してまん延し「BOTネットワーク」と呼ばれる不正プログラム同士のネットワーク網を築くなど大きな脅威とな
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ボット感染者6,005人に啓発メール、総務省がボット対策の実績公表